日本、韓国、米国は日本時間2025年8月27日に東京で合同フォーラムを開催し、北朝鮮のIT労働者詐欺への対応を協議した。
日本と韓国は注意喚起を更新し、米国はVitaliy Sergeyevich Andreyev、Kim Ung Sun、Shenyang Geumpungri Network Technology、Korea Sinjin Trading Corpを制裁対象とした。Google Cloud傘下MandiantやGoogleのThreat Intelligence Groupは、北朝鮮が日本、マレーシア、シンガポール、ベトナムに居住していると偽って活動を拡大していると報告した。FlashpointのIan Grayは、このスキームが過去6年間で88Mドル以上を得たと推計した。
From: 
Japan, South Korea Take Aim at North Korean IT Worker Scam
【編集部解説】
本件は、北朝鮮がIT労働者を装って多国籍企業に入り込み、収益を得る長期的な不正スキームに関するものです。今回の東京フォーラムは、日米韓が公的機関と民間の専門家を結集し、共通の対策や情報共有の仕組みを強化することを目的としています。MandiantやGTIGといった民間の脅威インテリジェンスが現状把握と技術的対策の中心的役割を担っています。
影響範囲は採用プロセスとリモートワークの運用全般に及びます。オンラインでの身元確認や経歴照会がAIや偽造技術で突破され得る点、そして給与の流れをフロント企業で隠蔽する手口は、企業の内部統制やサプライチェーン・セキュリティにも直接的な波及効果を与えます。
ポジティブな側面としては、国際的な協調と民間専門家の連携が進んだことです。これにより、手口の早期発見やOFAC制裁といった抑止力の発動が可能になります。一方で、長期的には「遠隔人材の信頼構築」と「採用プロセスの再設計」が不可避であり、企業はリスク評価モデルにこの脅威を組み込む必要があります。
具体的な企業対応としては、候補者の居住地実在性の確認、動的な技術面接の導入、重要職に対する対面確認または信頼できる代理の面会、給与送金先と機材配送先の不一致についての厳格な審査が挙げられます。技術的には、端末管理(MDM)やリモートアクセスの監査ログ強化、疑わしい接続の検出ルール整備が有効です。
長期的には、国際的な制裁・司法措置と企業側のプロセス改善が並行して進む必要があります。
【用語解説】
ラップトップ農場(laptop farm): 複数の端末を一か所で管理し、遠隔雇用者の端末として利用して通信を中継する仕組みである。
身元偽装(identity spoofing / fake personas): 偽の経歴や複数のペルソナを作り、オンライン採用プロセスを欺く行為である。
フロント企業(front company): 表面上は合法的に見えるが資金移動やカバー業務のために使われる組織である。
VPN/リモートデスクトップサービスの悪用: 地理的所在を偽装したり、端末へ遠隔アクセスするために正規・非正規のサービスが悪用されることを指す。
【参考記事】
【編集部後記】
今回の日米韓の共同対応は、サイバー脅威がもはや一国や一企業だけでは解決できない問題であることを改めて示しています。北朝鮮ITワーカー問題は単なる「就職詐欺」にとどまらず、制裁回避や軍事資金調達につながる国家戦略的な行為です。そのため制裁や技術的対策といった枠組みだけでなく、企業やフリーランスプラットフォーム、さらには採用担当者一人ひとりの注意力までが問われています。
